ファイアウォール運用のコツ
どんなセキュリティ対策でもそうですが、一度実行して終わりではまったく意味がありません。ファイアウォールについても、構築から運用まで、一貫したセキュリティ対策が必要です。前回までは、ファイアウォールの考え方から構築方法を紹介しましたが、ここではファイアウォール運用のコツを紹介します。また、ファイアウォールと組み合わせて実施すると有効なセキュリティ対策も併せて紹介します。
●イントラネットから出ていくパケットも必要がないものは許可しない
2001年の7月ごろから世間を騒がしているCodeRedやNimdaワームのことは、すでにご存じの方も多いかと思います。これらのワームは、極めて短時間で、かつ広範囲におよぶ感染を引き起こしました。ところが、これだけ騒がれたにもかかわらず、原稿執筆時点の2001年10月現在でも、インターネット上にはこれらのワームがいまだに飛び交っています。
原因の1つとして、感染しているのに気付いていないユーザーがいるということ、また、イントラネット内の多数のマシンが感染している可能性も挙げられます。実際に、イントラネット内の1台のマシンが感染して、このマシンからイントラネット内のほかのマシンにあっという間に感染が広まった、という事例が多数報告されています。
しかも、CodeRedやNimdaワームは、感染を広げるためにランダムにHTTPやSMTP接続を試みるため、イントラネット内のマシンだけでなく、インターネットにもパケットが出ていってしまう可能性があります。ところが図1のように、HTTPやSMTPなどのよく使われるサービスは、イントラネット内のすべてのマシンからインターネットへの通過を許可されている場合が多いようです(HTTPやSMTPだけでなく、「TCPに関してはすべて許可」というルールのところも少なくありません)。
こうして、イントラネット内のマシンからインターネットに対して感染が広まった場合、会社の信用が失墜してしまうということが考えられます。さらに、イントラネット内のマシンが大量に感染してしまった場合、すべてのマシンからワームを駆除し、すべてのマシンにセキュリティ対策を施すには、膨大な手間と時間がかかります。そのため、問題がいまだに放置されていたり、対策が完了していない企業が存在するようです。
ここで、ファイアウォールのルールが適切なものに設定されていれば、少なくともインターネットへパケットが出ていくことはなかったでしょう。例えば、ファイアウォールを通過するSMTPやHTTPは、特定のマシンからのみ通過を許可するようにします。メールの送信は、イントラネット内に設置したメールサーバからのみ許可するようにします。また、インターネット上のWebページを参照するときも、イントラネット内のプロキシサーバなどを経由してアクセスするようにします。ここで、メールサーバやプロキシサーバを、ウイルス対策用のゲートウェイソフトウェア*1と連携させることにより、より効果的なウイルス対策を行うことも可能です。
*1トレンドマイクロのInterScan VirusWallや、シマンテックのNorton AntiVirus for Gateways 2.5、Symantec Web Security 2.0を使えば、ウイルスやワームの感染に利用されやすいHTTPやSMTP通信を検査して、ウイルスやワームの侵入、感染を防ぐことができます
ところが、せっかくこのような対策を行っても、RAS(Remote Access Service)やノートPC経由で感染が広がってしまう可能性があります。例えば、ワームに感染した自宅のPCをRAS経由でイントラネットにつなぐことにより、ワームをイントラネット内に持ち込んでしまったという事例も報告されています。このような事例から分かるように、企業のセキュリティ対策は、イントラネットに接続する可能性があるすべてのマシンで実施されなければ意味がありません。
これらの対策は個人レベルで実施する必要がありますが、たった1人が対策を怠っただけでセキュリティは簡単に破たんしてしまうため、個人のモラルだけに期待するのは非常に危険です。RASサーバとイントラネット間にファイアウォールを導入したり、ノートPCにはウイルス対策ソフトウェアの導入を義務付けるなどの、確実に実行可能な対策でなければ意味がありません。これらの対策を実行すると、図2のような構成になります。
まとめると以下のようになります。
- 必要な通信以外は決して許可しない
- 通信の経路を絞り込むことにより、ウイルス対策などにも効果的となる
- RASやノートPCなどに対してもセキュリティ対策を怠らない
●脆弱性やパッチの情報の所在を把握しておく
ファイアウォール製品は、セキュリティに注意して設計されているはずですが、それでもセキュリティホールの存在の可能性は否定できません。ファイアウォールのセキュリティホールは、直ちに深刻なセキュリティの侵害につながる可能性があるため、セキュリティホールが発見されたらすぐに対策を行う必要があります。
管理者は、製品のセキュリティ情報がいち早く公開されるWebページやMLを常に把握しておきましょう。可能ならば、そのほかのセキュリティ関係のMLなどにも参加して、世の中の動向などをつかんでおきましょう。またファイアウォール製品そのものの情報だけでなく、導入しているすべての製品やOSについてのセキュリティ情報も把握しておく必要があります。
これらの情報収集も一過性ではなく、常に継続して行う必要があります。しかし、ファイアウォールの管理だけでなくほかの業務も兼務している人にとって、これらの作業はかなりの負担となる可能性があります。また、病気などで会社を休んでいるときにセキュリティホールの情報が公開されることもありますし、情報を見逃してしまう可能性もあります。できるだけ複数の管理者が協力して情報収集、対策を行うようにしましょう。
まとめると、以下のようになります。
- セキュリティ関係のパッチは、迅速に適用を行えるような体制をつくっておく
- 常に最新のセキュリティ情報を得られるWebページやMLに注意を払う
- できるだけ複数の管理者で構成されたチームで情報収集を行う
以下に、主な製品のセキュリティ情報が公開されているWebページを紹介します。
FireWall-1
http://www.checkpoint.com/techsupport/alerts/index.html
ISA
http://www.isaserver.org/pages/bugs/patches.htm
Enterprise Firewall
http://www.symantec.com/region/jp/support/sef/
PIX Firewall
http://www.cisco.com/warp/public/707/advisory.html
SonicWALL
http://www.sonicwall.com/support/
Solaris
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/pub-os&nav=pub-patches
Microsoft
http://www.microsoft.com/japan/technet/security/
その他
http://www.securityfocus.com/cgi-bin/vulns.pl
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
●定期的にログ解析を行う
定期的にファイアウォールのログ解析を行うことにより、ルールの作成ミスによるセキュリティホールの発生や、トラフィックの増加によるパフォーマンスの低下を検知して、これらを未然に防ぐことができます。
ログ解析の結果は、毎回同じフォーマットで出力しましょう。そうすれば、出力されたレポートを以前のレポートと比較することにより、異常を発見しやすくなります。ファイアウォール自身でレポートを作成する機能を持つ製品もありますが、WebTrendsなどのログ解析専用のソフトウェアの自動レポート作成機能を使えば、手間をかけずにログ解析を行うことができます。ファイアウォールの効率的な運用を目指す場合は、検討してみるとよいでしょう。
解析して役に立つレポートを作成するためには、必要な情報が確実に記録されているログが必要になります。そうはいっても、なんでもかんでも記録すると、ファイアウォールのパフォーマンスが低下する原因にもなりますし、必要となるHDDの容量も巨大になります。製品によっては、ログに記録する情報を選択できるので、このような機能を有効に利用して必要な情報のみを記録します。ログを取るコツは、比較的リスクの高い通信(暗号化されていないPOPや、あまり信頼できないネットワークからの通信など)を許可(Accept)したログの記録を行うことです(本連載の第5回「FireWall-1によるファイアウォール構築法」も参照してください)。
また、記録される時刻が正確でないと、ログの意味がなくなってしまいます。ファイアウォールやサーバの時刻は、ntpなどを使用して常に正確にしておきましょう。
まとめると、以下のようになります。
- 定期的にログ解析を行い、常に同じフォーマットでレポートを作成する
- リスクの高い通信は特に詳細なログを記録する
- ntp などを使用してマシンの時刻は常に正確にしておく
- ログを保存するスペースはあらかじめ十分に確保しておく
●連載の最後に
くどいようですが、「ファイアウォールを導入すればセキュリティ対策は終わり」というわけではありません。むしろ、「ファイアウォールの導入はセキュリティ対策の第一歩にすぎない」といった方がよいでしょう。
今回で、連載「ファイアウォール運用の基礎」は終了します。ファイアウォールの役割を見直すことによって、そのほかのセキュリティ対策にも目を向けて、正しいセキュリティ対策のあり方を理解していただけたらと思います。
Copyright © ITmedia, Inc. All Rights Reserved.